Você precisa escapar na segunda consulta também. O MySQL não faz nenhum escape em sua saída.

Resposta longa:o escape de string do MySQL não modifica a string que está sendo inserida, apenas garante que não prejudique a consulta atual . Qualquer tentativa de injeção de SQL ainda permanece nos dados.